Journalnummer: 2020-442-6885
Resume
Justitsministeriet sendte en e-mail til Advokatsamfundet med oplysninger om 35 personers navn, personnummer og bl.a. rykkerskrivelser vedr. oversendelse til inddrivelse af bøder i SKAT.
Mailen var afsendt uden om de normalt krypterede kanaler, og det kunne ikke dokumenteres, om mailen var blevet afsendt krypteret.
Datatilsynet udtalte alvorlig kritik af Justitsministeriet for at have handlet i strid med databeskyttelsesforordningens regler, både ved afsendelse af e-mailen og ved håndteringen af bruddet.
Særligt problematisk var det, at der gik ca. tre måneder, fra ministeriet blev informeret om det potentielle brud, til det var undersøgt. Det medførte en forsinket anmeldelse til Datatilsynet. Det var formentlig også medvirkende til, at det ikke kunne afklares med sikkerhed, hvordan e-mailen var blevet transmitteret over internettet.
Et af kritikpunkterne angår, at Justitsministeriet efter tre måneders undersøgelse af bruddet endnu ikke have besluttet, om de berørte registrerede skulle underrettes om bruddet. Ministeriet oplyste senere, at det var besluttet ikke at underrette, men uden at dette var baseret på nye oplysninger i sagen, Datatilsynet fandt derfor, at beslutningen burde være taget tidligere.
Datatilsynet tilsidesatte også Justitsministeriets vurdering af, at underretning ikke skulle ske. Datatilsynets fandt, at risikovurderingen ikke havde taget fat i de konkrete registreredes potentielle rettighedstab, men alene havde haft generelt fokus på, at ministeriet ikke havde viden om realiserede konsekvenser. Primært var fokus på, at ministeriet ikke havde fået kendskab til, at uvedkommende havde tilgået e-mailene, muligheden for f.eks. tab af tab af omdømme eller fremtidig virksomhed, var ikke en del af vurderingen.
Tilsynet er af den opfattelse, at en dataansvarlig ofte ikke vil være den første til at høre om et eventuelt misbrug, og i sager, hvor konsekvenser af uretmæssig adgang kan ligge i fremtiden, er konkret manglende viden om realiserede konsekvenser ikke nødvendigvis noget, som kan tillægges større betydning ved vurderingen af, hvilke risici et brud udgør for de registrerede.
Justitsministeriet blev, da Datatilsynet vurderede risikoen som høj, påbudt at underrette de registrerede om bruddet.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor Justitsministeriets departement (herefter Justitsministeriet) den 28. februar 2020 har anmeldt et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen har følgende referencenummer:
5ab99649e03f313dd9e6f56a4138394631bede54.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Justitsministeriets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1 jf. artikel 24, 33, stk. 1 og 34, stk. 1.
Samtidig finder Datatilsynet, at der er grundlag for at meddele Justitsministeriet påbud om at underrette alle registrerede, som er berørt af bruddet. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.
Indholdet i underretningen skal opfylde kravene i databeskyttelsesforordningens artikel 34, stk. 2 og dermed i et klart sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b, c og d.
Fristen for efterlevelse af påbuddet er den 1. juni 2021. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet og en anonymiseret version af underretningen. Ifølge databeskyttelseslovens[1] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Justitsministeriet har den 28. februar 2020 anmeldt et brud på persondatasikkerheden til Datatilsynet.
Af anmeldelsen fremgår det, at Justitsministeriet har sendt en e-mail med personoplysninger om 35 personer, og at denne forsendelse antageligt er sket over internettet uden anvendelse af kryptering.
3. Justitsministeriets bemærkninger
Det fremgår af sagen, at den 27. marts 2019 blev en e-mail sendt fra Justitsministeriets departement til advokatsamfundet. Denne e-mail indeholdt oplysninger om 35 personer. Oplysningerne omfatter navn, personnummer og økonomiske forhold i form af fakturaer og rykkerskrivelser vedr. oversendelse til inddrivelse af bøder i SKAT.
Den 18. november 2019 modtager Justitsministeriet en henvendelse fra en advokat, der rejser tvivl om, hvorvidt e-mailen afsendt den 27. marts 2019 var sendt med eller uden anvendelse af kryptering. Medarbejderen, som havde afsendt e-mailen, var ikke længere ansat, og der var ikke længere adgang til den afsendte e-mail. Justitsministeriet iværksatte en intern undersøgelse, der ikke afklarede forholdet, og senere også en undersøgelse hos Justitsministeriets driftsleverandør, Statens It.
Den 3. februar 2020 oplyser Statens It, at de har modtaget opgaven og vil vende tilbage inden den 7. februar 2020.
Den 26. februar 2020 modtog Justitsministeriet svar fra Statens It, hvoraf det fremgår, at det ikke kan afklares, om den pågældende mail er sendt med eller uden anvendelse af kryptering, men at det må antages, at forsendelsen er sket uden anvendelse af kryptering. Det fremgår også, at en del af udfordringen med at afklare dette, er den tid, som er gået siden e-mailen blev afsendt. Justitsministeriet konkluderede samme dag, den 26. februar 2020, at den relevante e-mail formentlig ikke var sendt krypteret, og der derfor var tale om et brud på persondatasikkerheden.
Den 28. februar 2020 anmelder Justitsministeriet hændelsen som et brud på persondatasikkerheden.
Den 24. april 2020 sender Datatilsynet en høring til Justitsministeriet med svarfrist 15. maj 2020. Justitsministeriet bevarer høringen den 2. juli 2020.
Ved undersøgelsen af e-mailafsendelsen har Statens It blandt andet oplyst, at:
”Vi har ikke logs så længe tilbage …”
”Den kan næppe være sendt sikkert fra KRFO´s system, da modtageren p.t. ikke har eget certifikat og firmaet ikke understøtter tunnel-mail.”
Justitsministeriets dokumentation af omstændighederne ved bruddet udgøres af anmeldelsen til Datatilsynet. Derudover har Justitsministeriet svaret på tilsynets høring. I disse dokumenter er blandt andet følgende fremhævet angående omstændighederne ved bruddet:
”Ukypteret forsendelse af personoplysninger indebærer en risiko for, at uvedkommende kan få adgang til de pågældende oplysninger. Der er dog ingen indikationer på, at uvedkommende har haft adgang til de i den konkrete sag berørte oplysninger”
”Der er dog ingen indikationer på, at hændelsen har haft konsekvenser for de registrerede i sagen.”
”Der er ingen indikationer på, at uvedkommende er blevet bekendt med de berørte oplysninger eller for, at de registrerede har lidt skade.”
På tidspunktet for anmeldelse af bruddet til Datatilsynet, den 28. februar 2020, havde Justitsministeriet endnu ikke besluttet, om der skulle ske underretning af de berørte registrerede. Ved svar af 2. juli 2020 på tilsynets høring, oplyser Justitsministeriet, at der ikke vil ske underretning af de registrerede med følgende begrundelse:
”Justitsministeriet kan oplyse, at ministeriet har vurderet, at der ikke skal ske underretning af de registrerede efter databeskyttelsesforordningens artikel 34.
Justitsministeriet har i den forbindelse lagt vægt på, at der var tale om en email sendt fra Justitsministeriet til Advokatsamfundet, hvor der formentlig ikke er sket kryptering i forbindelse med oversendelsen af e-mailen.
Der er således ikke tale om personoplysninger, som er gået tabt, eller som er blevet offentliggjort. Det er endvidere ministeriets vurdering, at personoplysningerne i forbindelse med oversendelsen til Advokatsamfundet kun potentielt har været tilgængelige for uvedkommende i en relativ kort periode. Der er samtidig ikke Justitsministeriet bekendt indikationer på, at uvedkommende rent faktisk har fået adgang til oplysningerne.
I forhold til hvad sikkerhedsbruddet har haft af konsekvenser for de registrerede, så skal det derfor understreges, at det ikke er sikkert, at den ikke krypterede e-mail er kommet til uvedkommendes kundskab i den korte periode, hvor oplysningerne har været tilgængelige.”
4. Begrundelse for Datatilsynets afgørelse
Datatilsynet lægger på baggrund af det af Justitsministeriet oplyste til grund, at der sandsynligvis er afsendt en e-mail via internettet med beskyttelsesværdige personoplysninger, uden at der er anvendt kryptering. Det lægges endvidere til grund, at Justitsministeriet ikke har kunne godtgøre, hvorvidt der har været anvendt kryptering eller ej.
Datatilsynet lægger på den baggrund til grund, at der potentielt har været ulovlig adgang til personoplysninger, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.
Datatilsynet lægger endvidere til grund, at de 35 berørte registrerede var advokater, og at oplysningerne om gæld angik disse advokaters virksomhed.
4.1. Databeskyttelsesforordningens artikel 32
Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.
Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.
Herudover påhviler der – efter databeskyttelsesforordningens artikel 24 – den dataansvarlige en pligt til at kunne påvise, at behandlinger sker i overensstemmelse med forordningen.
Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at det vil være en passende sikkerhedsforanstaltning at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet og, at håndtering af mange personers personoplysninger i én og samme forsendelse stiller større krav til medarbejdernes omhyggelighed i forbindelse med fremsendelse.
Datatilsynet finder på den baggrund, at Justitsministeriet – ved at have fremsendt oplysninger om 35 personers navne, personnumre og oplysninger om gæld, uden at kunne dokumentere anvendelse af kryptering – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved myndighedens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1 jf. artikel 24.
4.2. Databeskyttelsesforordningens artikel 33
Det følger af forordningens artikel 33, stk. 1, at den dataansvarlige i tilfælde af brud på persondatasikkerheden uden unødig forsinkelse og om muligt inden 72 timer skal foretage anmeldelse af bruddet til Datatilsynet, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder.
Datatilsynet finder derfor, at Justitsministeriets behandling af personoplysninger – ved at Justitsministeriet ikke sikrede en hurtigere afklaring og kontakt til Statens IT og dermed hurtigere og rettidig anmeldelse til Datatilsynet – ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1.
Datatilsynet har i den forbindelse lagt vægt på, at Justitsministeriet blev informeret om et muligt brud den 18. november 2019, men først anmeldte et brud til Datatilsynet den 28. februar 2020. I mellemtiden gennemførte Justitsministeriet en egen undersøgelse af omstændighederne, mens Statens IT, først blev involveret i undersøgelsen, langt senere, fra den 3. februar 2020.
Ved den slags undersøgelser kan det gøre en forskel, hvor hurtigt der reageres, i og med, at logs forsvinder med tiden, og en tidlig henvendelse til en it-leverandør kan dermed give flere og mere præcise svar. Statens IT synes også at oplyse, at logs ikke gemmes i så lang tid, at de kunne anvendes til undersøgelsen. Det er dog Datatilsynets opfattelse, at det ikke er sikkert, at disse logs ville have været brugbare til undersøgelsen, selv hvis Justitsministeriet havde henvendt sig til Statens IT allerede den 18. november 2019, men ikke desto mindre burde Justitsministeriet have afklaret dette langt tidligere i forløbet.
Det er derfor tilsynets opfattelse, at de mere end 3 måneder, der gik inden anmeldelsen til Datatilsynet, er en unødig forsinkelse, idet de faktuelle oplysninger kunne og burde have været opklaret tidligere.
Datatilsynets skal i den anledning henvise til, at bestemmelsen giver mulighed for at foretage en foreløbig anmeldelse, der så kan uddybes, korrigeres eller berigtiges, med yderligere fakta på et senere tidspunkt.
4.3. Databeskyttelsesforordningens artikel 34
Det følger af forordningens artikel 34, stk. 1, at når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.
Datatilsynet finder, at Justitsministeriets behandling af personoplysninger – ved ikke at underrette de registrerede om bruddet på persondatasikkerheden – ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 34, stk. 1.
Vurdering af risici for de registrerede
Justitsministeriets dokumentation af omstændighederne ved bruddet fremhæver flere gange, at der ikke er indikationer på, at uvedkommende er blevet bekendt med de berørte oplysninger. Justitsministeriet har ikke i sin dokumentation angivet, hvorfor dette tillægges særskilt betydning.
Ved begrundelsen for at undlade underretning af de registrerede fremhæves noget tilsvarende, ved at argumentet inkluderer det forhold, at der ikke Justitsministeriet bekendt er indikationer på, at uvedkommende rent faktisk har fået adgang til oplysningerne.
Datatilsynet skal hertil bemærke, at netop transmission over internettet af data uden anvendelse af kryptering, er en type af ”skjult” adgang til oplysningerne, som den dataansvarlige ingen kontrol har over. Dette kan indebære en behandling af data hos uvedkommende aktører, der hverken er databehandlere eller it-leverandører for Justitsministeriet, og eventuelt misbrug af data kan derfor ikke forventes at komme til Justitsministeriets kendskab.
Datatilsynet finder derfor ikke, at det i langt de fleste situationer kan forventes, at den dataansvarlige bliver informeret, hvis nogen opsnapper e-mailen under dens transmission over internettet. Det forhold, at Justitsministeriet ikke er bekendt med adgang til data, ændrer derfor ikke på den risiko, som bruddet udgør for de registrerede, bortset fra at et kendskab til opsnapning, ville have realiseret den pågældende risiko som værende indtruffet. Derfor bør denne type af betragtninger om manglende kendskab til uvedkommendes adgang – generelt – ikke indgå i en risikovurdering efter artikel 34, stk. 1, som angår underretning af de registrerede. Det er heller ikke et forhold, der skal indgå i en underretning af de registrerede, idet det kan give den registrerede et misvisende indtryk af risikoen.
Datatilsynet skal i øvrigt bemærke, at det netop er den potentielle adgang til oplysningerne i klar tekst, der er kerneproblemet, idet uvedkommende altid vil kunne få adgang til oplysninger der indeholdes i en e-mailforsendelse, når denne sker over internettet uden anvendelse af kryptering. Risikoen (muligheden for fare) for de registrerede angår primært, om nogen vælger at udnytte en opnået adgang til at misbruge oplysningerne.
Vurdering af konsekvenser for de registrerede
I forhold til konsekvenser for de registrerede, så fremhæver Justitsministeriet, at der ikke er indikationer på, at hændelsen har haft konsekvenser for de registrerede. Det knyttes sammen med oplysningen om, at det ikke er sikkert, at e-mailen er kommet til uvedkommendes kendskab.
Datatilsynet skal i den forbindelse bemærke, at en vurdering af konsekvensen for de registrerede er et vigtigt element i vurderingen af risici ved bruddet, og dermed også om risikoen for de registrerede er høj, hvorefter der skal ske underretning.
Justitsministeriets vurdering af konsekvens synes primært eller udelukkende at angå den manglende viden om konsekvenser og den manglende viden om, hvorvidt e-mailen er kommet til uvedkommendes kendskab. Justitsministeriet ses ikke at have vurderet, hvilke potentielle konsekvenser det kan have eller have haft, såfremt e-mailen er blevet tilgået af uvedkommende og personoplysningerne misbrugt. E-mailen indeholdt blandt andet oplysninger om økonomiske forhold og oplysninger om inddrivelse mv., som efter Datatilsynets opfattelse kan have betydelige konsekvenser for de pågældendes erhvervsmuligheder som advokat, og som vil kunne påvirke disses forretning i negativ retning. Justitsministeriet ses ikke at have inkluderet dette eller muligheden for identitetstyveri, phisingangreb eller andre normalt forekommende trusler, i sin vurdering af potentielle konsekvenser ved bruddet.
Misbrug af personnummer og navn kan f.eks. bruges ved forsøg på identitetstyveri. Men idet navn og personnummer behandles i mange sammenhænge, og siden de berørte registrerede ikke blev underrettet om bruddet, har de registrerede ikke nogen grund til at knytte et identitetstyveri til netop denne e-mailfremsendelse, og de kan derfor ikke forventes at kontakte og informere Justitsministeriet herom.
Et misbrug af personoplysninger kan endvidere ske lang tid efter, at bruddet er sket, og konsekvenserne kan dermed være fremtidige. Dette er endnu en grund til, at man i dette tilfælde ikke kan tillægge manglende aktuel viden om realiserede konsekvenser nogen større betydning i sin vurdering af risici.
Det er Datatilsynets opfattelse, at Justitsministeriet ikke kan siges at have foretaget en reel vurdering af de risici, som bruddet har udgjort og stadig kan udgøre for de registreredes rettigheder, hvilket er kritisk for en korrekt vurdering af, om de registrerede skal underrettes om bruddet jf. artikel 34, stk. 1.
Tilsynets vurdering af risici
Datatilsynet forstår sagen således, at e-mailen med al sandsynlighed er afsendt uden anvendelse af kryptering, idet Justitsministeriets it-leverandører har lavet en grundig undersøgelse, der blandt andet viser, at modtageren af e-mailen ikke havde eget certifikat og ikke understøttede tunnel-mail. Datatilsynet forstår det således, at it-leverandøren ikke mener, at der på tidspunktet for afsendelse af e-mailen var en teknisk mulighed for at anvende kryptering af e-mailens indhold eller kryptering af transmissionskanalen.
Det er Datatilsynets opfattelse, at brud på persondatasikkerheden vedrørende beskyttelsesværdige oplysninger, herunder oplysninger om personnummer, gældsforhold, inddrivelse mv. i en kontekst af en advokatvirksomhed, som udgangspunkt indebærer en høj risiko for de berørte registreredes rettigheder, da eksponering af sådanne oplysninger kan indebære alvorlige krænkelser for disse, både integritetskrænkelser og skade på omdømme.
Det er Datatilsynets opfattelse, at der i sager som den foreliggende skal ske underretning efter databeskyttelsesforordningens artikel 34, idet bruddet sandsynligvis vil indebære en høj risiko for de registreredes rettigheder og frihedsrettigheder, eksempelvis i form af identitetstyveri, integritetskrænkelser eller skader på omdømmet for deres virksomhed som advokater.
Datatilsynet har i den forbindelse lagt vægt på, at Justitsministeriet ikke ses at have dokumenteret og godtgjort forhold, der indikerer, at bruddet ikke indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder, hvilket kunne begrunde, at der ikke skal ske underretning af de registrerede om bruddet på persondatasikkerheden.
Datatilsynet har videre lagt vægt på, når der er flere berørte registrerede, øges sandsynligheden for, at det for minimum én af disse har en høj konsekvens, hvis de eksponerede personoplysninger misbruges. Det øger også mulighederne for misbrug, når der er flere navne og personnumre at vælge i mellem til f.eks. at forsøge identitetstyveri.
Forsinkelse i Justitsministeriets vurdering
Endeligt skal det bemærkes, at Justitsministeriets argumentation i høringssvaret til Datatilsynet den 2. juli 2020, angående undladelse af underretning, ikke ses at indeholde noget nyt i forhold til, hvad Justitsministeriet allerede vidste på tidspunktet for anmeldelsen af bruddet. Givet at anmeldelsen endvidere skete mere end tre måneder efter Justitsministeriet blev informeret om det potentielle brud, og at konklusionen om, at der var sket et brud blev draget den 26. februar 2020, ses der ingen grund til, at underretning af de registrerede endnu ikke var besluttet ved anmeldelsen til tilsynet den 28. februar 2020.
Forsinkelse i stillingtagen til underretning, kan i sig selv have en negativ effekt på de berørte registrerede, som i en periode med uvidenhed om bruddet ikke kan tage forholdsregler til at beskytte sig selv.
4.4. Sammenfatning
På ovenstående baggrund finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Justitsministeriets behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1 jf. artikel 24, 33, stk. 1 og 34, stk. 1.
Datatilsynet har herved lagt vægt på følgende som skærpende omstændigheder:
- At der er tale om 35 registrerede.
- At bruddet har berørt beskyttelsesværdige personoplysninger.
- At underretning af de berørte registrerede er undladt på et forkert grundlag.
- At håndteringen af bruddet er foregået på en måde, der har forsinket anmeldelsen til Datatilsynet og underretningen af de registrerede.
Datatilsynet finder endvidere grundlag for at meddele Justitsministeriets påbud i medfør af databeskyttelsesforordningens[2] artikel 58, stk. 2, litra e, om at underrette alle registrerede om bruddet på persondatasikkerheden.
[1] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).
[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).